¿Cuáles son los problemas de seguridad si el archivo local.xml en Magento es de acceso público?

Sé muy poco sobre Magento y no construí el sitio en cuestión yo mismo, pero descubrí que el archivo local.xml del sitio web de un cliente era de acceso público. http://domain.com/app/etc/local.xml que contenía el nombre de usuario y la contraseña. Supongo que este archivo no debería ser de acceso público, pero ¿Magento no bloquea automáticamente el acceso (enviando un encabezado 403)? ¿Cuáles son las implicaciones de seguridad para esto?

preguntado el 12 de junio de 12 a las 15:06

4 Respuestas

El mundo tendría su información de conexión DB, también la clave de cifrado está allí para que puedan romper toda la información segura de su cliente.

Magento bloquea el acceso a etc. desde la aplicación a través de .htaccess en ese directorio.

Order deny,allow
Deny from all

Respondido el 12 de junio de 12 a las 15:06

Gracias. Aparentemente, la base de datos no permite conexiones externas, ¿sigue siendo un problema de seguridad? ¿Podría dar un poco más de información sobre cómo la clave de cifrado podría representar una amenaza para la seguridad? ¿Qué podría hacer un hacker con la clave de la cripta? ¿Estás diciendo que Magento bloquea el directorio /app/ de fábrica? Solo me preguntaba por qué este archivo podría haber sido visible públicamente en primer lugar. - iagdotme

si no es así, genial y todo, pero sigue siendo información que no me gustaría que nadie tuviera, pero recuerda que en seguridad, siempre hay alguien mejor, ya sea whitehat o blackhat. La clave de cifrado se usa para cifrar la información de CC, por lo que si tienen eso, pueden descifrar la información de CC y tener acceso completo a los consumidores de CC, y a nadie le gusta ser como Sony o LinkedIn. No es visible en primer lugar. Magento incluye ese .htaccess como parte de su instalación inicial, alguien tuvo que haberlo eliminado. - vern burton

Gracias por tu ayuda. Creo que el sitio está en un servidor IIS, así que no sé si eso marca la diferencia. - iagdotme

¿Por qué este archivo podría ser visible públicamente en primer lugar? Es una aplicación web php. Una buena proporción de las aplicaciones web php se crean para instalarse en cuentas de hosting donde el único acceso es a través de FTP, posiblemente solo a la raíz del documento del servidor ya la base de datos. Todo se instala en un espacio de servidor de acceso público y está protegido por archivos .htaccess. Las implicaciones de seguridad son que si se ensucia con los archivos .htaccess instalados por Magento, creará peligros que permitirán que su sitio web se vea comprometido. - Laboratorios Fiasco

Hace una diferencia, .htaccess es parte de Apache e IIS no lee esos archivos. Necesitaría bloquear ese archivo para que no sea leído por el usuario de IIS o el usuario anónimo de IIS, pero PHP aún necesitaría poder acceder a los directorios, necesitaría traducir los datos .htaccess a web.config en IIS. learn.iis.net/page.aspx/557/… - vern burton

Además de la base de datos y la información de la clave de cifrado, puede contener información sobre los servidores de caché.

Respondido el 12 de junio de 12 a las 16:06

En una instalación estándar de Magento, que esté configurado correctamente y que el archivo local.xml sea accesible públicamente no es una amenaza para la seguridad.

Dicho esto, si ocurriera alguna desviación de la configuración estándar del servidor, y de una forma u otra fuera posible leer el archivo, todas las demás medidas de seguridad que podría tener en su lugar serían absolutas.

Como tal, se recomienda encarecidamente que este archivo no sea de acceso público, como un mecanismo de seguridad, si no para otra cosa.

contestado el 12 de mayo de 14 a las 12:05

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.